NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 病毒安全 .: 计算机安全与防病毒知识

计算机安全与防病毒知识

现在我们大家一起来学习一些有关计算机安全与维护的知识。当今社会以计算机及其应用为主的信息技术(IT,Information Technology)已经深入到我们工作和生活的方方面面,我们可以通过互联网和远方的朋友亲人聊天;职称考试要在网上报名;坐在办公室我们就可以知道世界各地的新闻时事;伴随着信息技术飞速发展给我们生活工作带来的方便和舒适,信息安全事件层出不穷。 首先,我们先来了解一下影响计算机安全的主要因素: 1、系统故障:由于网络、计算机或者软件本身出现的故障而导致的数据丢失和或系统瘫痪是不可预见的,也是我们能力以外的,比例:显示器或者硬盘坏了、键盘鼠标不好用了。这些故障我们自己解决不了,必须找专业的维修人员来处理。 2、人为因素:包括人为的操作错误、非法侵入和访问以及一些不道德的行为。 3、恶意程序:包括计算机病毒、特洛伊木马和恶意软件。 其次,我们来了解一下保证计算机安全的主要措施: 1、系统故障对安全的影响最大,系统的数据和个人的信息都保存硬盘等存储器内,损坏后会造成大量的数据丢失。为了避免高更大的损失,平时就要养成随时存盘的习惯,重要的文件要做好备份,最好双机备份。 2、人为因素是我们最容易控制的,不登录不明网站,不下载不明软件,对自己的帐号和密码要妥善保管,不要轻意删除系统内的文件,使用网吧等公用电脑时,最好不要输入个人信息。 3、如何识别病毒、特洛伊木马之类的恶意程序,是我这一讲的重点,下面我们先来区分一下它们。 在学习之前,我们先来理解一个计算机上常用的名词“进程”。进程的概念是60年代初首先由麻省理工学院的MULTICS系统和IBM公司的CTSS/360系统引入的。是程序在计算机上的一次执行活动。当你运行一个程序,你就启动了一个进程。显然,程序是死的(静态的),进程是活的(动态的)。进程可以分为系统进程和用户进程。凡是用于完成操作系统的各种功能的进程就是系统进程,它们就是处于运行状态下的操作系统本身;用户进程就是所有由你启动的进程。进程是操作系统进行资源分配的单位。是应用程序的运行实例,是应用程序的一次动态执行。看似高深,我们可以这样理解为:我们把计算机看做自己“秘书”,那进程就他正在进行的工作,系统进程就是他必须进行而且一直在进行的工作,比如:他要一刻不停地呼吸,必须时刻注意自己的言行举止,时刻等待我们的命令,这些都可以理解为系统进程。而我们指派的他各项工作就是用户进程,工作完成了进程也就结束了。 我们可以通过“任务管理器”来管理我们的“秘书”--计算机正在运行的进程。同时按下“Ctrl”、“Alt”和“Del”键,或者用鼠标右键点击系统状态栏选择“任务管理器”,计算机上就会打开一个叫“任务管理器”的窗口。选择“进程”选项卡我们就可以看到计算机正进行的各项工作。附1里列出了Windows XP系统中的一些系统进程以便我们进行查对。其中的“最基本的系统进程”计算机运行必须的进程,结束这些进程计算机会自动关机或者死机。如果进程列表中的进程在附1里查不到,又不是我们正在运行的程序,那就很有可能是一些恶意程序的进程。我们可以用鼠标右键选中该进程,选择“结束进程”或者“结束进程树”来结束这个进程,如果选择结束后,该进程又自动运行了,那就基本可以肯定是恶意程序的进程。 了解进程,我们再来区分一下恶意程序: 计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的自我复制能力,使计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。 计算机蠕虫也是计算机病毒的一种。它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。与一般的计算机病毒不同,蠕虫传播无需用户操作,并可通过网络分发它自己的副本。它会消耗内存或网络带宽,从而可能导致计算机崩溃。蠕虫的传播不必通过“宿主”程序或文件,因此可潜入系统并允许其他人远程控制你的计算机。 特洛伊木马也是一个程序,程序表面上在执行一个任务,实际上却在执行另一个任务。黑客的特洛伊木马程序事先已经以某种方式潜入你的机器,并在适当的时候激活,潜伏在后台监视系统的运行,它同一般程序一样,能实现任何软件的任何功能。例如,拷贝、删除文件、格式化硬盘、甚至发电子邮件。典型的特洛伊木马是窃取别人在网络上的帐号和口令,它有时在用户合法的登录前伪造登录现场,提示用户输入帐号和口令,然后将帐号和口令保存至一个文件中,显示登录错误,退出特洛伊木马程序。用户还以为自己输错了,再试一次时,已经是正常的登录了,用户也就不会有怀疑。其实,特洛伊木马已完成了任务,躲到一边去了。更为恶性的特洛伊木马则会对系统进行全面破坏。 恶意软件也有叫广告软件的,是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件。一般表现为强制安装、难以卸载、劫持浏览器、弹出广告和恶意收集用户信息。 杀毒软件当然是对抗计算机病毒的不二选择,但是由于法律和技术方面的原因,几乎所有的杀毒软件都不能彻底清除木马和恶意软件,所以一般我们都采用杀毒软件和防木马软件的组合,来保证信息的安全。推荐的是“卡巴斯基+360”的组合。 “360安全卫士”是奇虎公司的产品,最早的恶意软件“3721”也是这个公司的产品。它是一个免费软件,我们可以从“http://www.360.cn”这个网址上免费下载。 下载后,双击开始安装。安装完成后,可以选择查杀木马和清理恶意软件。在“高级”选项中,可以查看启动项和进程列表。在“保护”选项中,可以开启各项保护。 现在网上流行一种ARP欺骗木马,中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、、各种网络游戏密码和账号、网上银行账号等,给用户造成了很大的不便和巨大的经济损失。建议大家在局域网环境上网时,开启360安全卫士的“局域网ARP攻击拦截”。 “卡巴斯基”是俄罗斯著名数据安全厂商Kaspersky Labs专为我国个人用户度身定制的反病毒产品。这款产品功能包括:病毒扫描、驻留后台的病毒防护程序、脚本病毒拦截器以及邮件检测程序,时刻监控一切病毒可能入侵的途径。 安装完成“卡巴斯基”后须要重新启动计算机。重新启动电脑后,双击右下角卡巴斯基的图标,再选择“设置”,将“扫描”项中均设置为“不提示操作”。再选择“更新”选项,更新病毒库。更新完成后,选“扫描”选项,启动扫描计算机。 怎样判断电脑是否含有病毒 对于一些初级电脑用户。下面就结合个人电脑使用及企业网络维护方面的防毒经验从以下几个方面给大家介绍介绍如何判断是否中了病毒,希望对帮助识别“真毒”有一定帮助! 病毒与软、硬件故障的区别和联系 电脑出故障不只是因为感染病毒才会有的,个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的,网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系,才能作出正确的判断,在真正病毒来了之时才会及时发现。下面简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。 症状 病毒的入侵的可能性 软、硬件故障的可能性 经常死机:病毒打开了许多文件或占用了大量内存;不稳定(如内存质量差,硬件超频性能差等);运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件(有许多BUG);硬盘空间不够等等;运行网络上的软件时经常死机也许是由于网络速度太慢,所运行的程序太大,或者自己的工作站硬件配置太低。 系统无法启动:病毒修改了硬盘的引导信息,或删除了某些启动文件。如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。 文件打不开:病毒修改了文件格式;病毒修改了文件链接位置。文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化,而工作站没有及时涮新服器的内容(长时间打开了资源管理器)。 经常报告内存不够:病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件;系统配置不正确;内存本就不够(目前基本内存要求为128M)等。 提示硬盘空间不够:病毒复制了大量的病毒文件(这个遇到过好几例,有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了,一安装软件就提示硬盘空间不够。硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的"私人盘"使用空间限制,因查看的是整个网络盘的大小,其实“私人盘”上容量已用完了。 软盘等设备未访问时出读写信号:病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。 出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。 启动黑屏:病毒感染;显示器故障;内存故障;显示卡故障;主板故障;超频过度;CPU损坏等等。 数据丢失:病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在网络上的文件,也可能是由于其它用户误删除了。 键盘或鼠标无端地锁死:病毒作怪,特别要留意“木马”;键盘或鼠标损坏;主板上键盘或鼠标接口损坏;运行了某个键盘或鼠标锁定程序,所运行的程序太大,长时间系统很忙,表现出按键盘或鼠标不起作用。 系统运行速度慢:病毒占用了内存和CPU资源,在后台运行了大量非法操作;硬件配置低;打开的程序太多或太大;系统配置不正确;如果是运行网络上的程序时多数是由于你的机器配置太低造成,也有可能是此时网路上正忙,有许多用户同时打开一个程序;还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。 系统自动执行操作:病毒在后台执行非法操作;用户在注册表或启动组中设置了有关程序的自动运行;某些软件安装或升级后需自动重启系统。 通过以上的分析对比,我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的,当我们发现异常后不要急于下断言,在杀毒还不能解决的情况下,应仔细分析故障的特征,排除软、硬件及人为的可能性。 病毒的分类及各自的特征 要真正地识别病毒,及时的查杀病毒,我们还有必要对病毒有一番较详细的了解,而且越详细越好! 病毒因为由众多分散的个人或组织单独编写,也没有一个标准去衡量、去划分,所以病毒的分类可按多个角度大体去分。 如按传染对象来分,病毒可以划分为以下几类: a、引导型病毒 这类病毒攻击的对象就是磁盘的引导扇区,这样就能使系统在启动时获得优先的执行权,从而达到控制整个系统的目的,这类病毒因为感染的是引导扇区,所以造成的损失也就比较大,一般来说会造成系统无法正常启动,但查杀这类病毒也较容易,多数杀毒软件都能查杀这类病毒。 b、文件型病毒 早期的这类病毒一般是感染以exe、com等为扩展名的可执行文件,这样的话当你执行某个可执行文件时病毒程序就跟着激活。近期也有一些病毒感染以dll、ovl、sys等为扩展名的文件,因为这些文件通常是某程序的配置、链接文件,所以执行某程序时病毒也就自动被子加载了。它们加载的方法是通过插入病毒代码整段落或分散插入到这些文件的空白字节中,如CIH病毒就是把自己拆分成9段嵌入到PE结构的可执行文件中,感染后通常文件的字节数并不见增加,这就是它的隐蔽性的一面。 c、网络型病毒 这种病毒是近几来网络的高速发展的产物,感染的对象不再局限于单一的模式和单一的可执行文件,而是更加综合、更加隐蔽。现在一些网络型病毒几乎可以对所有的OFFICE文件进行感染,如WORD、EXCEL、电子邮件等。其攻击方式也有转变,从原始的删除、修改文件到现在进行文件加密、窃取用户有用信息(如黑客程序)等,传播的途经也发生了质的飞跃,不再局限磁盘,而是通过更加隐蔽的网络进行,如电子邮件、电子广告等。 d、复合型病毒 把它归为“复合型病毒”,是因为它们同时具备了“引导型”和“文件型”病毒的某些特点,它们即可以感染磁盘的引导扇区文件,也可以感染某此可执行文件,如果没有对这类病毒进行全面的清除,则残留病毒可自我恢复,还会造成引导扇区文件和可执行文件的感染,所以这类病毒查杀难度极大,所用的杀毒软件要同时具备查杀两类病毒的功能。 以上是按照病毒感染的对象来分,如果按病毒的破坏程度来分,我们又可以将病毒划分为以下几种: a、良性病毒: 这些病毒之所以把它们称之为良性病毒,是因为它们入侵的目的不是破坏你的系统,只是想玩一玩而已,多数是一些初级病毒发烧友想测试一下自己的开发病毒程序的水平。它们并不想破坏你的系统,只是发出某种声音,或出现一些提示,除了占用一定的硬盘空间和CPU处理时间外别无其它坏处。如一些木马病毒程序也是这样,只是想窃取你电脑中的一些通讯信息,如密码、IP地址等,以备有需要时用。 b、恶性病毒 我们把只对软件系统造成干扰、窃取信息、修改系统信息,不会造成硬件损坏、数据丢失等严重后果的病毒归之为“恶性病毒”,这类病毒入侵后系统除了不能正常使用之外,别无其它损失,系统损坏后一般只需要重装系统的某个部分文件后即可恢复,当然还是要杀掉这些病毒之后重装系统。 c、极恶性病毒 这类病毒比上述b类病毒损坏的程度又要大些,一般如果是感染上这类病毒你的系统就要彻底崩溃,根本无法正常启动,你保分留在硬盘中的有用数据也可能随之不能获取,轻一点的还只是删除系统文件和应用程序等。 d、灾难性病毒 这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度,这类病毒一般是破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表,造成系统根本无法启动,有时甚至会格式化或锁死你的硬盘,使你无法使用硬盘。如果一旦染上这类病毒,你的系统就很难恢复了,保留在硬盘中的数据也就很难获取了,所造成的损失是非常巨大的,所以我们进化论什么时候应作好最坏的打算,特别是针对企业用户,应充分作好灾难性备份,还好现在大多数大型企业都已认识到备份的意义所在,花巨资在每天的系统和数据备份上,虽然大家都知道或许几年也不可能遇到过这样灾难性的后果,但是还是放松这"万一"。我所在的雀巢就是这样,而且还非常重视这个问题。如98年4.26发作的CIH病毒就可划归此类,因为它不仅对软件造成破坏,更直接对硬盘、主板的BIOS等硬件造成破坏。 如按其入侵的方式来分为以下几种: a、源代码嵌入攻击型 从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序,病毒是在源程序编译之前插入病毒代码,最后随源程序一起被编译成可执行文件,这样刚生成的文件就是带毒文件。当然这类文件是极少数,因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序,况且这种入侵的方式难度较大,需要非常专业的编程水平。 b、代码取代攻击型 这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块,这类病毒也少见,它主要是攻击特定的程序,针对性较强,但是不易被发现,清除起来也较困难。 c、系统修改型 这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能,由于是直接感染系统,危害较大,也是最为多见的一种病毒类型,多为文件型病毒。 d、外壳附加型 这类病毒通常是将其病毒附加在正常程序的头部或尾部,相当于给程序添加了一个外壳,在被感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒,要知道这些我们可以按以下几个方法来判断。 1、反病毒软件的扫描法 这恐怕是我们绝大数朋友首选,也恐怕是唯一的选择,现在病毒种类是越来越多,隐蔽的手段也越来越高明,所以给查杀病毒带来了新的难度,也给反病毒软件开发商带来挑战。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及,病毒的开发和传播是越来越容易了,因而反病毒软件开发公司也是越来越多了。但目前比较有名的还是那么几个系统的反病毒软件,如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、诺顿,卡巴等。至于这些反病毒软件的使用在此就不叙说了。 2、观察法 这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、硬盘拼命工作但又在自己空闲时、网络出现故障或数据出现大量收发、出现特殊的声音或提示等上述在第一大点中出现的故障时,我们首先要考虑的是病毒在作怪,但也不能一条胡洞走到底,上面不是讲了软、硬件出现故障同样也可能出现那些症状嘛!对于如属病毒引起的我们可以从以下几个方面来观察: a、内存观察 这种主要用任务管理器来查看,调出任务管理器,查看里面的进程是不是正常的。当然,现在的病毒你可能在任务管理器中可能看不到,那是因为它采用了一种隐身的方法,这时你可能要请专业人员来查看。如果连任务管理器都不能运行了,那十有八九是感染了电脑病毒。 b、注册表观察法 这类方法一般适用于近来出现的所谓黑客程序,如木马程序,这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的,你可以通过一些专业人员或者书来清楚其在注册表中的位置。 c、系统配置文件观察法 这类方法一般也是适用于黑客类程序,这类病毒一般在隐藏在system.ini 、wini.ini(Win9x/WinME)和启动组中,在system.ini文件中有一个"shell="项,而在wini.ini文件中有“load= ”、“run=”项,这些病毒一般就是在这些项目中加载它们自身的程序的,注意有时是修改原有的某个程序。 d、特征字符串观察法 这种方法主要是针对一些较特别的病毒,这些病毒入侵时会写相应的特征代码,如CIH病毒就会在入侵的文件中写入“CIH”这样的字符串,当然我们不可能轻易地发现,我们可以对主要的系统文件(如Explorer.exe)运用16进制代码编辑器进行编辑就可发现,当然编辑之前最好还要要备份,毕竟是主要系统文件。但这种方法对于初级用户显然太高级了,你可以咨询一些专业人员或从相关的书籍中得到提示。 e、硬盘空间观察法 有些病毒不会破坏你的系统文件,而仅是生成一个隐藏的文件,这个文件一般内容很少,但所占硬盘空间很大,有时大得让你的硬盘无法运行一般的程序,但是你查又看不到它,这时我们就要打开资源管理器,然后把所查看的内容属性设置成可查看所有属性的文件,相信这个庞然大物一定会到时显形的,因为病毒一般把它设置成隐藏属性的,到时删除它即可。 附1: Windows XP 常见的进程列表 1、最基本的系统进程 这些进程是系统运行的基本条件,有了这些进程,系统才能正常运行。 smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序svchost.exe 包含很多系统服务(可能有多个) spoolsv.exe 将文件加载到内存中以便迟后打印。 explorer.exe 资源管理器 ctfmon.exe 托盘区的输入法图标 2、附加的系统进程 这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少 mstask.exe 允许程序在指定时间运行。(系统服务) regsvc.exe 允许远程注册表操作。(系统服务) winmgmt.exe 提供系统管理信息(系统服务)。 inetinfo.exe 通过Internet信息服务的管理单元提供FTP 接和管理。(系统服务) tlntsvr.exe 允许远程用户登录到系统使用命令行运行控制台程序。(系统服务) tftpd.exe 实现FTP Internet准。该标准不要求用户名和密码。 (系统服务) termsrv.exe 提供多会话环境允许客户端设备访问虚拟的Windows 2000 Professional (系统服务) dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务) 3、不常用服务 以下服务很少会用到,下面的服务都对安全有害,如果不是必要的应该关掉 tcpsvcs.exe 提供在PXE可远程启动客户计算机上远程安装 Windows2000的能力。 (系统服务) ismserv.exe 允许在Windows Advanced Server站点间发送和接收消息。(系统服务) ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务) wins.exe 注册和解析TCP/IP客户提供NetBIOS名称服务。(系统服务) llssrv.exe License Logging Service(system service) ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务) RsSub.exe 控制用来远程储存数据的媒体。(系统服务) locator.exe 管理 RPC 名称服务数据库。(系统服务) lserver.exe 注册客户端许可证。(系统服务) dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务) clipsrv.exe 支持“剪贴簿查看器”,可以从远程剪贴簿查阅剪贴页面。(系统服务) msdtc.exe 并列事务,是分布于两个以上的数据库、消息队列、文件系统 (系统服务) faxsvc.exe 帮助您发送和接收传真。(系统服务) cisvc.exe Indexing Service(system service) dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务) mnmsrvc.exe 允许有权限的用户使用NetMeeting远程访问Windows桌面。(系统服务) netdde.exe 提供动态数据交换(DDE)的网络传输和安全特性。(系统服务) smlogsvc.exe 配置性能日志和警报。(系统服务) rsvp.exe 为 (QoS)的程序提供网络信号和本地通信控制安装功能。(系统服务) RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务) RsFsa.exe 管理远程储存的文件的操作。(系统服务) grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点 (系统服务) SCardSvr.exe 对插入在计算机智能卡进行管理和访问控制。(系统服务) snmp.exe 可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务) snmptrap.exe 接收由本地或远程SNMP代理程序产生的陷阱消息,然后将消息传递到SNMP管理程序。UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务) msiexec.exe 依据.MSI文件中包含的命令来安装、修复以及删除软件。(系统服务)

这篇文章对你多有用?

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited